Ciò che il malware può fare

Impariamo a conoscere i pericoli del malware

Prof. Ing. Claudio Cilli, CIA, CISA, CISM, CRISC, CGEIT, CISSP, CSSLP, HCISPP, QA, M.Inst.ISP

Se un programma ha lo scopo di distruggere, rubare, ingannare, estorcere, fare spam, eludere, o spiare, vi sono buone possibilità che sia applicabile il termine “malware”. Abbreviazione di software dannoso, il malware è un termine omnicomprensivo che descrive praticamente qualsiasi software che possa minacciare i dati sul PC, compresi spy-ware, ad-ware, ransom- ware, worm, cavalli di Troia, rootkit, keylogger, dialer, software di sicurezza dannoso non autorizzato, e, naturalmente, minacce autoreplicanti come i virus. È facile immaginare il malware come l’equivalente software delle più diaboliche villanie alla James Bond impacchettate in un tutt’uno. Ma è un fatto che tutte le infezioni da malware, violazioni, e file danneggiati sono in definitiva evitabili.

Malware, abbreviazione che sta per “malicious software”, è un tipo software utilizzato per danneggiare gli utenti dei computer. Funziona in modi diversi, ad esempio limitandosi ad interrompere le operazioni del computer, oppure raccogliere informazioni sensibili o il profilo di un utente per inviargli spam o messaggi falsi, o accedere a sistemi informatici privati. La maggior parte del malware è però utilizzato per commettere reati ed è spesso utilizzato per ottenere informazioni bancarie o le credenziali di accesso per l’e-mail o i social media. Il malware è utilizzato anche dai governi, dagli organismi preposti a garantire la sicurezza di una nazione, e anche dai privati al fine di aggirare la crittografia e spiare gli utenti. Il malware è spesso dotato di una vasta gamma di funzionalità, e può consentire a un utente malintenzionato di registrare all’insaputa dell’utente da una webcam e da un microfono, disattivare le impostazioni di notifica per alcuni programmi anti-virus, registrare i tasti premuti, copiare e-mail e altri documenti, rubare le password e gli altri dati.

Questo articolo cerca quindi di rispondere alla domanda su quanto danno una persona può provocare sul suo computer, organizzazione, e anche alla sua vita se non riesce a prendere le dovute precauzioni.

Azioni, quali fare click accidentalmente su un link discutibile, aprire un allegato poco chiaro o scaricare un cosiddetto software “free” può creare più problemi di quanto si pensi. A volte i danni sono lievi e il recupero è molto rapido. Altre volte i costi superano di gran lunga il prezzo dell’hardware e le perdite diventano insostituibili; la nostra azienda può collassare, i ricordi più cari essere perduti per sempre, e la nostra reputazione o identità venir danneggiata per molti anni.

I soliti sospetti

Spesso avrete notato la comparsa di un nuovo software sul proprio computer che non avete volontariamente installato, il più delle volte in forma di toolbar sul browser web. Questo fenomeno è causato da software di tipo “piggyback”, cioè un tipo di programma che si “attacca sulle spalle” di un altro software, trasportato dalla rete internet. Questi cavalli di Troia (Trojan) sono trasportati da un altro software legittimo, come un normale programma eseguibile, di solito freeware, un componente ActiveX o un applet Java. Se non si pone grande attenzione a verificare tutte le opzioni durante l’installazione iniziale, o a seguito di aggiornamenti, questi programmi indesiderati sono anch’essi installati. Quando i Trojan sono attivi nel sistema, tendono a danneggiare e distruggere i dati o raccogliere informazioni sensibili, come password, numeri di carte di credito, i contatti o l’agenda, per inviarli ai criminali.

Come già ricordato, l’obiettivo di un virus è di replicarsi tra computer. Un worm è un tipo di virus che risiede nella memoria di un computer e che può saltare tra sistemi in rete abbastanza automaticamente. Tradizionalmente, un virus ha bisogno di una certa interazione con l’utente, come il lancio di un eseguibile infetto o l’inserimento di un drive USB infetto. Alcuni malware, d’altro canto, utilizzano una serie di exploit esistenti nel software di cui ci si fida e che si utilizza regolarmente per diffondersi anche verso sistemi senza essere rilevati.

I virus (e altri tipi di malware) sono spesso eseguibili autonomi ma possono anche esistere in forma di script, indicati a volte come macro virus. I criminali informatici scrivono questi script, o un insieme di comandi eseguiti da parte di un programma residente nel computer, al fine di accedere e modificare file, documenti, e-mail e applicazioni Web senza autorizzazione. I vettori per consentire attacchi da script virus includono HTML (HyperText Markup Language), Java-Script, e i documenti di Microsoft Office. Per esempio, un documento Word con il supporto attivo per il codice incorporato (macro), eseguirà il codice stesso quando si apre il documento, cosa che può far sì che il computer subisca ogni sorta di problemi.

I rootkit sono un tipo di malware di cui può essere particolarmente difficile liberarsi. Aggirando il software di sicurezza, un rootkit può installarsi in una locazione di memoria di basso livello che richiede l’accesso come amministratore, grazie alla quale si nasconde dai tipici scanner antivirus e malware e eseguire comandi che il Sistema Operativo non ha normalmente motivo di sospettare come potenzialmente dannosi.

I rootkit sono spesso utilizzati per consentire l’installazione di altri tipi di malware con lo scopo di rubare dati sensibili, tracciare la cronologia dei siti visitati, o disattivare il software di sicurezza. I rootkit sono stati utilizzati in passato per rafforzare il DRM (digital rights management). A volte un utente può installare un rootkit con l’obiettivo, ad esempio, di bypassare l’attivazione di un prodotto Microsoft, nascondere software che consente di barare nei giochi online, o cancellare il disco rigido nel caso in cui il computer sia smarrito o rubato.

Gli attacchi da malware agnostico

Anche se i diversi tipi di malware di cui abbiamo parlato hanno un certo insieme di obiettivi tipici, diversi attacchi specifici possono verificarsi nel sistema tramite uno qualsiasi di questi.

I keystroke logger (o keylogger), ad esempio, sono un tipo di malware in grado di registrare i tasti premuti e le attività di navigazione. Sono solitamente utilizzati per raccogliere i nomi utente e le password e trasmettere queste informazioni ai cyber-criminali. I keylogger hardware, collegati a un PC o a un notebook (a volte mascherati da un connettore generico per tastiera), possono svolgere la stessa funzione, ma sono spesso facili da individuare.

Se avete effettuato una ricerca generica per software libero, vi sono buone possibilità che il vostro elenco di risultati sia popolato da un buon numero di software shareware infetto da spyware. Questi programmi possono aprire finestre pop-up pubblicitarie e trasmettere la cronologia del browser ai loschi autori del software. Eseguire questo tipo di software è già rischioso, ma è possibile andare incontro a problemi ancora più grandi semplicemente perché il software è scritto male. Alcuni adware possono divorare e quindi esaurire la memoria di sistema, corrompere file, danneggiare il Registro di Sistema di Windows e rallentare in modo significativo il computer.

Molti tipi di malware cercano di aprire una backdoor sul sistema infetto, per consentire ai cyber-criminali di accedere direttamente al PC, cancellare file, osservare e alterare il funzionamento del sistema.

Un bot è un tipo di attacco da malware progettato per ottenere il controllo del sistema da parte di un altro utente o a una serie di processi automatizzati. Per un cybercriminale, una infezione da bot isolata non è più utile rispetto a rubare un elenco di contatti o l’apertura di una backdoor sul sistema, ma quando combinato con centinaia o migliaia di computer infetti da bot al fine di formare una botnet, possono sommergere il Web di spam, inondare i server Web con richieste fino al punto di arrestarli, e facilitare la rapida diffusione di altri tipi di malware.

Software anti-virus

L’Electronic Frontier Foundation (EFF) consiglia di utilizzare software anti-virus sui computer e sugli smartphone, anche se non è possibile raccomandare un particolare prodotto anti-virus come superiore agli altri. Il software Anti-virus può essere molto efficace nella lotta contro l’installazione “non mirata” di malware che potrebbe essere utilizzato dai criminali contro centinaia o migliaia di potenziali di bersagli. Tuttavia il software anti-virus è di solito inefficace contro attacchi mirati, come quello scatenato dagli hacker del governo cinese per compromettere il New York Times.

Indicatori di compromissione

Quando non è possibile rilevare il malware utilizzando software anti-virus, è talvolta ancora possibile individuare degli indicatori di compromissione. Per esempio, Google a volte invia un avvertimento agli utenti Gmail quando ritiene che il loro account è stato bersaglio di attacchi sponsorizzati dallo stato. Inoltre, si può notare l’accensione di una spia che indica che la webcam è accesa quando non è stata attivata personalmente (anche se gli “advanced malware” possono essere in grado di disattivare questa segnalazione): questo potrebbe essere un altro indicatore di compromissione da malware. Altri indicatori sono meno evidenti: è possibile notare la propria e-mail cerca di accedere a un indirizzo IP o che le impostazioni sono state modificate per inviare copie di tutte le e-mail ad un indirizzo di posta elettronica sconosciuto. Se avete la possibilità di monitorare il traffico di rete, la distribuzione e il volume di traffico anomali potrebbero indicare una compromissione. Un altro segnale che si può osservare è notare che il computer si collega ad uno specifico server di controllo: è un computer che invia comandi alle macchine infettate da malware o che ricevono dati da computer infetti.

Come fanno gli attaccanti ad utilizzare il malware per colpirmi?

Il modo migliore per affrontare un attacco da software dannoso è in primo luogo evitare l’infezione! Questa può essere una difficile impresa se l’avversario ha accesso ai cosiddetti “zero day attack”, cioè attacchi che sfruttano vulnerabilità ancora sconosciute in un’applicazione per computer di cui non sono ancora disponibili le patch di correzione. Immaginiamo il computer come una fortezza: un zero-day è come un’accesso nascosto e segreto che nessuno conosce, ma che un utente malintenzionato ha scoperto. Non è possibile proteggersi contro un punto d’acceso segreto di cui nemmeno si conosce l’esistenza. I governi e gli organismi che si occupano di sicurezza nazionale sono alla continua ricerca di zero day exploit al fine di dirigere in modo mirato gli attacchi con malware. Anche i criminali e gli altri hacker possono anche avere accesso a zero day exploit per utilizzarli al fine di installare malware sui computer. Ma uno zero day exploit è costoso da scoprire e costoso per riutilizzarlo (quando si utilizza una galleria segreta di una fortezza, aumenta la possibilità che altre persone possano scoprirla). E’ molto più comune per un utente malintenzionato indurre l’utente ad installare da solo il malware.

Ci sono molti modi con cui un utente malintenzionato potrebbe tentare di indurre l’utente ad installare malware sul proprio computer. Può nascondere il software principale del malware (detto payload) in un link ad un sito web, in un documento, un file PDF, o anche in un programma progettato per proteggere il computer. Si potrebbe essere colpiti tramite e-mail (che potrebbe apparire come se provenisse da qualcuno che conosciamo), un messaggio su Skype o su Twitter, o anche tramite un link inviato alla nostra pagina di Facebook. Più l’attacco è mirato, più attenzione l’attaccante deve prestare per tentare di indurci a scaricare il malware.

Per esempio, in Siria, degli hacker pro-Assad hanno mirato ai membri dell’opposizione con malware nascosto in finto documento rivoluzionario e in un falso tool anti-pirateria. Gli iraniani sono stati bersagliati utilizzando malware nascosto in un popolare programma per l’elusione della censura. E in Marocco gli attivisti sono stati colpiti da un malware nascosto in un documento che sembrava come se fosse stato inviato da un reporter di Al-Jazeera, che prometteva informazioni su uno scandalo politico.

Il modo migliore per evitare di essere infettati con questo tipo di malware mirato è evitare l’apertura dei documenti e l’installazione del malware in primo luogo. Le persone con più esperienza e competenze tecniche dispongono di un migliore istinto riguardo ciò che potrebbe essere dannoso e ciò che non lo è, ma attacchi ben mirati possono essere molto convincenti. Se si utilizza Gmail, aprire allegati sospetti in Google Drive piuttosto che scaricarli download può proteggere il computer dall’infezione. Utilizzando un sistema operativo meno comune, come Ubuntu o ChromeOS, migliora significativamente le nostre probabilità contro i trucchi utilizzati da molti malware per raggiungerci, ma non protegge contro gli avversari più sofisticati.

Un’altra cosa che si può fare per proteggere il computer dal malware è accertarsi sempre che è in esecuzione la versione più recente del sistema operativo e del software software e scaricare le ultime patch di sicurezza. Non appena sono nuove vulnerabilità nel software, le aziende sono in grado di risolvere questi problemi e offrire la correzione sotto forma di aggiornamento, ma non raccoglieremo i frutti di questo lavoro fino a quando non si installa l’aggiornamento nel computer.

Cosa fare se troviamo del malware nel nostro computer?

Se si scopre del malware sul computer, per prima cosa è necessario scollegarlo immediatamente da Internet e smettere subito di utilizzarlo. Ogni volta che viene premuto un tasto, questo può essere inviato a un utente malintenzionato. È meglio portare il computer da un esperto di sicurezza, che può essere in grado di scoprire ulteriori dettagli circa il malware. Se hai trovato il malware, la sua rimozione e non garantisce la sicurezza del computer. Alcuni tipi di malware offrono la possibilità all’utente malintenzionato di eseguire codice arbitrario sul computer infettato e non vi è alcuna garanzia che l’utente malintenzionato non abbia installato altro software dannoso mentre controllava la macchina.

Accedere a un computer che riteniamo sia sicuro e cambiare le password; ogni password che digitiamo sul computer mentre era infetto deve essere considerata compromessa.

È possibile reinstallare il sistema operativo sul nostro computer al fine di rimuovere il malware. Questo rimuoverà la maggior parte del malware, ma alcune specie di malware più sofisticate possono ancora persistere. Se avete qualche idea di quando il computer è stato infettato, è possibile reinstallare i file prima di tale data. La reinstallazione dei file da dopo la data dell’infezione può infettare nuovamente il computer.

Praticare informatica sicura

Abbiamo solo scalfito la superficie del malware e i modi con cui può minacciare i nostri dati. Tuttavia, se si adottano sempre le dovute cautele e si seguono i consigli contenuti nel riquadro “Suggerimenti per un utilizzo sicuro dei computer”, è possibile ridurre la probabilità di diventare vittima di malware.

È possibile configurare WindowsUpdate affinchè installi automaticamente i nuovi aggiornamenti in modo da essere sicuri che le vulnerabilità siano corrette tempestivamente.

SUGGERIMENTI PER UN UTILIZZO SICURO DEI COMPUTER

I seguenti suggerimenti possono aiutare a proteggere i dati presenti nel computer.

  • Mantenere aggiornati i sistemi operativi e il software
  • Installare ed eseguire il software antivirus e anti-malware aggiornato
  • Selezionare solo siti attendibili per scaricare le applicazioni e contenuti multimediali sul Web
  • Generare password sicure per neutralizzare i software di attacco a forza bruta, e non condividerle
  • Utilizzare il software antivirus per eseguire la scansione dei file che si sospetta infetti da malware
  • Nelle e-mail, evitare di fare clic sui collegamenti e eliminare gli allegati dubbi senza aprirli
  • Leggere sempre con attenzione tutte le istruzioni prima di installare alcunchè
  • Assicurarsi che tutti coloro che accedono al computer sappiano come comportarsi con sicurezza